la banda de hackers que sacude gobiernos, ejércitos y bancos

hace 2 años

Worok, un nouveau groupe de hackers, vise principalement des entreprises et gouvernements en Asie. © Adimas, Fotolia

también te interesará


[EN VIDÉO] Ciberespionaje: ¿cuáles son las amenazas?
Injerencia en elecciones, robo de datos industriales, hackeo de sistemas militares… El ciberespionaje ha despegado en las últimas dos décadas.

Investigadores de la firma de ciberseguridad Eset descubrieron recientemente un nuevo grupo de piratas utilizando herramientas hasta ahora desconocidas. Bautizado como Worok, el grupo ataca a gobiernos y ciertas grandes empresas en Asia, pero también en Oriente Medio y en países del sur de África.

Las primeras actividades del grupo se detectaron a principios del año 2021 durante el descubrimiento fracasos ProxyShell. Su perfil era entonces muy cercano al de otro grupo, TA428, dejando a los investigadores con la duda de si se trataba de los mismos individuos. Sin embargo, pudieron diferenciar sus actividades gracias a las herramientas utilizadas e identificar los primeros ataques de Worok que tuvieron lugar a finales de 2020”. Consideramos que los lazos no son lo suficientemente fuertes como para considerar a Worok como el mismo grupo que TA428, pero los dos grupos podrían compartir herramientas y tener intereses comunes. “, indicaron los investigadores en su informe.

Índice
  1. Un grupo activo de nuevo desde principios de año
  2. Una actividad que sugiere robo de información

Un grupo activo de nuevo desde principios de año

El grupo tuvo un período inicial de actividad hasta mayo de 2021, antes de hacer una pausa y reaparecer en febrero de este año apuntando a una empresa en elenergía en Asia Central, y una entidad del sector público en el Sudeste Asiático. Eset no pudo determinar los medios utilizados para infiltrarse en las redes de las víctimas en la mayoría de los casos. Sin embargo, algunas autoridades han explotado fracasos ProxyShell. Luego, los piratas implantaron un web-shell o código shell, es decir acceso a un servidor web para poder conectarse a voluntad a la red de la víctima.

piratas informáticos use herramientas basadas en la web disponibles gratuitamente para explorar la red comprometida, como Mimikatz, EarthWorm, ReGeorg y NBTscan. Luego instalan un primer programa para tomar el control de las máquinas. En 2021, fue CLRLoad, que fue reemplazado en 2022 por PowHeartBeat, un software puerta trasera escrito con el lenguaje de secuencias de comandos PowerShell. En particular, tiene la capacidad de conectarse a un servidor para recibir comandos y descargar otros programas.

Una actividad que sugiere robo de información

En ambos casos, el programa solo sirve para cargar una segunda herramienta, PNGLoad. Esto se basa en la esteganografíaun mensaje oculto en otro mensaje, para cargar el malware final. En este caso, carga un imagen PNG, que contiene código oculto. Los investigadores de Eset no pudieron recuperar las imágenes utilizadas para analizarlas, pero deberían ser perfectamente válidas y, por lo tanto, parecer completamente inofensivas para la víctima.

La incapacidad de analizar archivos PNG también significa que no saben qué programa final se cargó y, por lo tanto, cuál era el propósito exacto de la actividad. Sin embargo, el principal objetivo del grupo parece ante todo el espionaje. " Dado el perfil de los objetivos y las herramientas que hemos visto desplegadas contra estas víctimas, creemos que el objetivo principal de Worok es robar información. dijeron los investigadores.

¿Te interesa lo que acabas de leer?

Si quieres conocer otros artículos parecidos a la banda de hackers que sacude gobiernos, ejércitos y bancos puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad